Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Обучение

015.3. Системное администрирование операционной системы Astra Linux Special Edition. Специальный курс.
06 - 07 ноября 2018 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа.
12 - 16 ноября 2018 года

001. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Курс согласован ФСТЭК России.
19 - 23 ноября 2018 года

026. Подготовка к CISSP и CISM (курс от профессионалов-практиков).
28 - 30 ноября 2018 года

036.2. Внедрение системы управления информационной безопасностью.
04 - 05 декабря 2018 года

036.3. Внутренний аудит СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2013.
06 - 07 декабря 2018 года

015.1. Основы работы в операционной системе Astra Linux.
10 - 11 декабря 2018 года

015.2. Системное администрирование операционной системы Astra Linux Special Edition.
12 - 14 декабря 2018 года

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 10 11 12 13 14 След.
RSS
[ Закрыто ] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Ввиду полного совпадения никнейма официально заявляю, предыдущий пост писал не я ))))))))
Михаил, вы юрист?
1. Приведу мнение уважаемого многими юриста, признанного эксперта в области ПДн М.Ю. Емельянникова на недавнем вебинаре по 1119ПП, это ответ на вопрос о применимости 58 приказа, так вот: 58 приказ применим в части, не противоречащей 1119ПП.
Аналогично с иными подзаконными актами. Если закон не устанавливает сроки издания новых подзаконников, то действуют старые, в части не противоречащей, а такая часть в этих НПА есть.
2. Внимательнее читайте ФЗ, ч.3 ст. 19:
Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
где вы тут увидели вред субъекту? Закон выполнен, да, для определения УЗ учитываются еще объем и содержание, но это не обязательное условие.
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
требования изложены достаточно обще, конкретизация - в приказах регуляторов.
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
512ПП никто не отменял и не отменят
А то, что в преамбуле указана необходимость учета вреда - это учтено при оценке актуальности угрозы оператором.

3. А при чем здесь ст. 4? Тут скорее ст. 18.1: Оператор обязан принимать меры, необходимые и достаточные для обеспечения ... К таким мерам могут, в частности, относиться:
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
Закон возлагает оценку вреда на оператора. По поводу "могут, в частности" можно спорить, но 1119ПП однозначно обязало оператора.



4. Кроме "ну вы блин даете" слов нет: угроза может быть а) актуальна, б) неактуальна и в) актуальна всегда :) разницу между а) и в) не улавливаю.
Цитата
Сергей С. пишет:
58 приказ применим в части, не противоречащей 1119ПП.
Сергей, разберём приказ 58 и какая его часть НЕ противоречит 1119:

Общие положения
1.1 (применение) не противоречит
1.2 (общие методы и способы ЗИ в ИС) не противоречит
1.3 (о назначении ответственного) не противоречит
1.4 (выбор и реализация методов и способов ЗИ) ПРОТИВОРЕЧИТ, т.к. в нём указано, что выбор методов и способов ЗИ осуществляется оператором в зависимости от КЛАССА ИСПДн
1.5 не противоречит
Методы и способы ЗИ от НСД
2.1 (общие методы и способы) не противоречит
2.2 (определение методов и способов ЗИ для ИСПДн) ПРОТИВОРЕЧИТ, т.к. в нём указано, что выбор методов и способов ЗИ осуществляется оператором в зависимости от КЛАССА ИСПДн
2.3 (использование антивирусов) не противоречит
2.4 (общие мет. и спос. ЗИ при взаимод. с ССОП) не противоречит
2.5 - 2.10 не противоречит
2.11, 2.12 ПРОТИВОРЕЧИТ (привязка к классу ИСПДн)
2.13 не противоречит
Методы и способы защиты информации от утечки по техническим каналам
3.1 ? (привязка к 781)
3.2 - 3.4 ПРОТИВОРЕЧИТ (привязка к классу ИСПДн)
3.5 не противоречит
Методы и способы защиты информации от несанкционированного доступа
в зависимости от класса информационной системы
ПРОТИВОРЕЧИТ (привязка к классу ИСПДн)

Т.о. что мы имеем?
Не противоречат 1119 только те пункты 58 приказа, в которых описаны возможные методы и способы ЗИ в ИСПДн.
Конкретные же меры зависят от класса ИСПДн (что и логично), но класс ИСПДн - понятие из прошлого, т.к. сегодня в соответствии с 152 ФЗ действующим понятием является уровень защищенности.

То же и с "приказом трёх".
Так что использовать эти два документа - то же самое что прочитать в википедии статью о мерах по защите информации))
Изменено: Настя - 26.11.2012 11:17:12
Вопрос:
если биометрическая система содержит:
"рост" и "вес" субъекта - это уже спец. данные или только идентификационные ?
"давление" - уже спец. данные (состояние здоровья) по давлению мы не идентифицируем человека на улице.

в понятии "состояния здоровья" есть пограничные параметры. По росту и телосложению человека могут разыскивать и в то же время:
вес 150 кг, рост карликовый и т.п. - говорит о состоянии здоровья.
где границы ?
Цитата
Гость пишет:
"рост" и "вес" субъекта
характеризуют физиологические и биологические особенности человека

Цитата
Гость пишет:
вес 150 кг, рост карликовый и т.п. - говорит о состоянии здоровья.
не факт. Состояние здоровья = сведения о результатах медицинского обследования, наличии заболевания, об установленном диагнозе, о прогнозе развития заболевания, методах оказания медицинской помощи, связанном с ними риске, возможных видах медицинского вмешательства, его последствиях и результатах оказания медицинской помощи. Если давление можно отнести к результатам медобследования, то рост и вес - даже не знаю.

Цитата
Гость пишет:
где границы ?
используются оператором для установления личности субъекта
Сергей С., беру Ваши же цитаты, но выделяю в них другие фрагменты, и получается следующее.

Цитата 1. (Часть 5 статьи 19)
Правительство
Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных
Цитата 2. (Пункт 5 части 1 статьи 18.1)
Оператор обязан принимать меры, необходимые и достаточные для обеспечения ... К таким мерам могут, в частности, относиться:
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом

В этой же статье написано (Вы включили это в многоточие), что такие меры определяются оператором самостоятельно. Таким образом, сама по себе статья 18.1 не налагает тех обязанностей, которые перечислены в подпунктах. Далее Вы — абсолютно верно — замечаете, что Правительство обязывает операторов такую оценку производить. А в статье 4 именно на этот случай и сказано:
2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.

Мнение М. Ю. Емельянникова — это мнение М. Ю. Емельянникова. Без аргументации оно ничего не стоит. К сожалению, я на этом вебинаре не присутствовал, поэтому в чём она состояла (и была ли вообще), не знаю.

По поводу п. 4, ещё раз, я допускаю свою возможную неправоту. Но буквальное толкование п. 6 говорит о том, что актуальность угроз безопасности всё же может быть трёх типов. И не тех, которые перечислили Вы.

Актуальные угрозы безопасности — это совокупность условий и факторов, создающих актуальную опасность несанкционированного доступа к персональным данным, результатом чего могут стать неправомерные действия в отношении ПДн. Понятие отличается от данного в ч. 10 ст. 19 закона понятия угроз безопасности только словом "[создающих] актуальную [опасность]" и порядком слов.
Из этого термина и его определения можно сделать вывод, что актуальность угроз — это наличие совокупности условий и факторов, создающих актуальную опасность...

Правительство должно было установить уровни защищённости с учётом не актуальности опасности несанкцонированного доступа (про которую действительно можно сказать, что она или есть или (её) нет), а с учётом того, имеются ли условия и факторы, создающие такую актуальную опасность. А по какому критерию отличаются типы угроз безопасности? По тому, какие условия и факторы актуальны для информационной системы. Если для неё актуальны такие условия и факторы, как НДВ СПО, то для этой ИС (независимо от того, хочет того оператор или нет) актуальны угрозы 1-го типа; если НДВ ППО — 2-го, если ни то ни то — 3-го.

То есть типы угроз — это и есть "типы" актуальности угроз. Постановлением их предусмотрено ровно три. Что верно, поскольку человеческий фактор (я приводил пример выше) актуален всегда.

Строго говоря, я вынужден согласиться с Вами в том, что про каждый тип угроз можно сказать: да или нет (актуален или нет), и в этой части спора у нас нет и быть не может; но с учётом сказанного выше — всё же полагаю, что постановлением правительство установлено три возможных случая (или три "типа") актуальности угроз безопасности.
Коллеги, хотелось бы услышать ваше мнение. Если биометрические и специальные категории ПДн (справка по флюорографии) обрабатываются исключительно в бумажном виде (лежат в личных делах сотрудников). Должны ли мы учитывать этот факт при определении уровня защищенности.

Мои мысли: с одной стороны вроде как эти категории ПДн ОБРАБАТЫВАЮТСЯ, пусть и в неавтоматизированном виде. Следовательно учитываться должны. Тем более, что в ПП 1119 речь идет об определении уровня защищенности именно ПДн, а не классификации ИСПДн, как было ранее. С другой стороны, ФЗ 152, а следовательно и изданный в соответствии с ним ПП 1119 регламентирует именно АВТОМАТИЗИРОВАННУЮ ОБРАБОТКУ ПДн (+каталогизированые сборники бумажных документов).

У кого какие мысли будут на этот счет?
1119ПП устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных, а это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Ни того, ни другого, ни третьего в данном случае нет.
687ПП вам в руки.
Спасибо. Надо было внимательно читать вступление к ПП. Осталось только решить, считать ли сканы паспортов в ИСПДн за биометрию или нет, по причине неиспользования в целях определения субъектов ПДн.
Цитата
Александр пишет:
сканы паспортов
Тут куда ни кинь, везде клин. Если используете для идентификации - то биометрия со всеми вытекающими, если не используете - сбор ПДн, избыточных по отношению к цели обработки, остается только бланкировать фото при сканировании или вымарывать.
Цитата
Сергей С. пишет:
бланкировать фото при сканировании или вымарывать.
Сергей, что это значит?
Это при сканировании на фото прикрепить скрепочкой бумажку либо после сканирования стереть фото в любом графическом редакторе, причем первое предпочтительнее - субъект видит, что вы не собираете его типа биометрию :)
Уважаемые форумчане!
Обсуждать ПП-1119 очень важно, чтобы увидеть его плюсы и минусы, подготовить обоснованные замечания и предложения для его изменения.
Но, как правило, в ПП очень редко вносят коррективы (вспомните ПП-781).
ПП-1119 - действующий документ и с ним приходится работать уже сейчас.
Т.к. ПП-1119 не шедевр , чтобы увидеть "смысл" приходится пробираться через запутанные логические цепочки,

Проведенный мной анализ предлагаемых для объяснения ПП-1119 рисунков и табличек показал, что они несколько не удобны (это мое субъективное мнение).

Для своего удобства я сделал одну общую табличку и с успехом ей пользуюсь.
Она конечно не совершенна, но очень удобна.
После издания новых документов (например, взамен приказа-58 ) возможно придется её переделать.

При установлении уровней защищенности от НСД для ИСПДн (по новому ПП-1119) рекомендую воспользоваться табличкой

http://files.mail.ru/ZDD38M.
Скачать файл Табл ПП-1119.jpg
(Хотел в сообщение вставить рисунок, но не получилось).... ;)

таким образом, всё решается достаточно просто. См. стрелки.
По горизонтали желтым цветом и символом "&" выделены две и более ячеек таблицы,
которые объединяют "условие". Например, " Динь &" и " & дон" означает "Динь и дон".
Типы угроз Вы выбираете сами исходя из ЧМУ (частной модели угроз). Как ЧМУ вы напишете, такие угрозы и будут актуальны для вашей ИСПДн.
(В новых документах ФСТЭК России возможно будут указаны требования по типам угроз для разных типов ИСПДн).
Слева вверху приведены требования к уровням 1-4 (от 4 до 1 с учетом поглощения)!!!!!

Буду рад если пригодится табличка!!!!!
ИМХО не совсем понимаю зачем мудрить с разными вариантами таблиц по определению УЗ. Хотя думаю в ближайшее время начнут впаривать продавать какую нибудь прогу для автоматического определения УЗ :D
Сколько ИСПДн у оператора? У большинства - 2 - работники и клиенты, максимум - 3 (еще СКУД с биометрией). Так что определить УЗ при всей косноязычности ПП не самая сложная задача.
Изменено: Сергей С. - 07.12.2012 10:02:45
Цитата
Сергей Гуща пишет:
Для своего удобства я сделал одну общую табличку и с успехом ей пользуюсь.
Она конечно не совершенна, но очень удобна.
Сергей! И позвольте у Вас узнать и где Вы ей пользуетесь. Опишите пожалуйста бизнес-процесс, где это необходимо? Спасибо.
А вот и проектик на сайте ФСТЭК появился ...... ААААААААааааааа! :o
Ссылку можно? В новостях ФСТЭКа последним вижу только "Проект приказа ФСТЭК России "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах ". А мы-то тут все ждем немного другого...
Изменено: Илья - 07.12.2012 15:56:35
А Вы почитайте сей док, почитайте .....
Надо бы по ФСТЭКосвским документам отдельную темку создавать и уже там обсуждать.
Цитата
Сергей С. пишет:
Хотя думаю в ближайшее время начнут впаривать продавать какую нибудь прогу для автоматического определения УЗ :D
Уже есть Шлюз-ПДн из такой серии :)
Страницы: Пред. 1 ... 10 11 12 13 14 След.
Читают тему (гостей: 9, пользователей: 0, из них скрытых: 0)